全球范围内,针对信息技术(IT)网络的网络攻击事件不断增加。最近接二连三的ransomware袭击美国的石油管道系统和全球肉类供应链强调我们的IT基础设施中存在的漏洞,以及毁灭性的影响这些网络漏洞可以即使违反似乎是相对无害的。在Colonial Pipeline黑客事件中,据报道,攻击仅到达前端业务IT系统,而不是实际控制管道本身的IT和运营技术(OT)。但是,尽管如此,这次袭击还是导致整个管道关闭了一段时间,导致美国东海岸大部分地区出现了令人担忧的天然气短缺。雷竞技比分几天来,长队和恐慌性购买成了常态。
随着物联网设备的日益普及、IT和OT网络的融合以及基于云的管理和分析系统的使用,这一日益上升的威胁已经成为边缘IT所有者和运营商迫切关注的网络安全问题。网络攻击的风险由于IT的日益分布式特性,情况正在恶化。边缘计算的趋势是将越来越多的终端设备置于计算网络的边缘,远离更安全、更集中的数据中心。雷竞技电脑网站这极大地增加了网络罪犯和黑客可用的攻击面。
白皮书12边缘计算网络安全最佳实践概述描述4件需要关注和持续解决的事情,以显著降低违规风险。这四种做法是:
1.设备选择标准
2.安全的网络设计
3.设备设置/配置
4.操作和维护
我将在这个博客中简要概述这些实践。白皮书提供了更多的细节和例子,以及有关网络安全标准的信息。
1.设备选择标准
第一个最佳实践是选择网络可连接设备,这些设备可以被验证是由遵循良好实现的安全开发生命周期(SDL)流程的供应商开发的。或者,如果我们谈论的是工业控制设备和系统,应该遵循IEC 62443标准。该标准在定义由工业控制专家开发的安全标准时被全世界所接受。SDL流程最初是由微软开发的。一个典型的SDL由7个阶段组成,涵盖了从内部培训到设计到安全协议的验证,再到开发事件响应计划的所有内容。通过这种方式,一定要从那些能够证明他们的承诺,并关注他们所提供的所有产品、应用程序和服务的安全和隐私问题的供应商那里购买。
2.安全的网络设计
您不仅应该选择为安全性和数据隐私而开发和优化的网络设备,当然,在设计、实现和管理网络时,也必须将安全性作为首要考虑因素。确保对边缘IT站点的访问安全,首先要从一些基础工作开始,如使用使用加密隧道的虚拟专用网络(VPN)、实现防火墙和使用访问控制系统。
除了这些工具,网络应该使用“深度防护”网络(DDN)设计。DDN (defense - depth Network)方法保护边缘计算功能,并维护这些功能和通信路径的可用性。边缘计算利用分布式网络、计算节点、存储和安全控制系统。边缘DDN的策略是在每个区域中发展具有不同防御要素的安全区域。白皮书12演示一种分层的方法(使用网络分段),在不受信任区域和受信任区域之间实现区域和安全链接。
另一个与网络设计相关的推荐做法是使用入侵检测系统设备放置在每个边缘计算站点。它们可以检测潜在的恶意流量,这些流量可能会破坏、中断服务,并影响边缘环境的可用性[1].论文还引入了一个新的概念,叫做,安全访问服务器边缘(SASE),它将SD-WAN部署与嵌入式安全结合起来。它是专门为分布式It和Edge部署而设计的。
3.设备设置/配置
在边缘应用程序中使用嵌入式设备或基于软件的系统之前,应该进行适当的分析,以了解设备/系统如何通信,以及设备/系统如何在客户在边缘操作所需的用例中运行。这包括使用和应用供应商的加固指南,进行端口扫描,并确保所有补丁和固件更新都已应用,等等。
4.操作和维护
本文讨论的第四个最佳实践类别是操作和维护。本节首先描述现有的全球标准,这些标准提供了关于最佳操作实践的最新指导。虽然特定的应用程序可能有独特的和特定的战术实践来确保安全性,但有一些实践适用于所有边缘计算应用程序。其中包括补丁管理、漏洞管理和渗透测试。本文对每一项都进行了详细的阐述。
最后,尽管超出了第12份白皮书的范围,但将物理安全作为总体网络安全策略的一部分也很重要。一个2021年网络安全趋势报告63%的成功攻击来自内部来源,包括控制、错误或欺诈。这突出了对物理安全措施的需求,以控制谁可以访问IT和网络设备。考虑到边缘计算站点往往没有工作人员,而且以“熄灯”的方式运行,建议将IT柜和安全摄像头(用ups作备份)上锁。
总之,当今混合IT和边缘计算网站和资产组合的高度分布式特性,使保护一切免受网络犯罪的挑战更大。遵循上述最佳实践将大大降低网络攻击成功的风险。读白皮书12,“边缘计算的网络安全最佳实践概述”要学习更多的知识。